การสร้างคีย์และการยืนยันด้วย Yubikey

สำหรับวัตถุประสงค์ของ การลงนามรหัส EV and Adobe PDF ลายเซ็นดิจิทัลจำเป็นต้องมีการสร้างและเก็บคีย์ส่วนตัวของคุณอย่างปลอดภัยบนอุปกรณ์ฮาร์ดแวร์ที่ผ่านการตรวจสอบด้วย FIPS ภายนอกแทนที่จะเป็นคอมพิวเตอร์ของคุณ SSL.com จะจัดส่งการลงนามรหัส EV และใบรับรองการลงนามเอกสาร PDF ที่ติดตั้งไว้ล่วงหน้าบน FIPS 140-2 โทเค็น USB ของคีย์ความปลอดภัยที่ผ่านการตรวจสอบแล้วแต่ผู้ใช้ยังสามารถสร้างคู่คีย์บน YubiKey และ an . ที่มีอยู่ได้ ใบรับรองการยืนยัน ที่พิสูจน์ว่ามีการสร้างรหัสส่วนตัวบนอุปกรณ์ ใบรับรองการยืนยันสามารถใช้เพื่อสั่งซื้อใบรับรองจาก SSL.com ที่อาจติดตั้งด้วยตนเองบน YubiKey

วิธีการนี้จะแนะนำคุณผ่าน:

• กำลังสร้าง คู่กุญแจ and ใบรับรองการยืนยัน บน Yubikey ของคุณ
• การตรวจสอบ ใบรับรองการยืนยันและเชื่อมโยงกับการลงนามรหัส SSL.com EV หรือการสั่งซื้อเอกสาร PDF
• การติดตั้ง ใบรับรองใหม่ของคุณใน YubiKey

ขั้นตอนที่ 1: สร้าง Key Pair บน YubiKey

1. หากคุณยังไม่ได้ดำเนินการให้ดาวน์โหลดและติดตั้ง ผู้จัดการ YubiKey จากเว็บไซต์ของ Yubico มีเวอร์ชันสำหรับ Windows, Linux และ macOS
   
2. เสียบ YubiKey ของคุณแล้วเปิด YubiKey Manager YubiKey ของคุณควรจะปรากฏในหน้าต่าง YubiKey Manager
   
3. นำทางไปยัง แอปพลิเคชั่น> PIV.
   
4. คลิก กำหนดค่าใบรับรอง ปุ่ม
   
5. เลือกแท็บสำหรับสล็อต YubiKey ที่คุณต้องการสร้างคู่คีย์ หากคุณกำลังซื้อใบรับรองการลงนามรหัส EV ให้เลือก การยืนยันตัวตน (ช่อง 9a) สำหรับการเซ็นเอกสาร PDF ให้เลือก ลายเซ็นดิจิทัล (ช่อง 9c). (ดู Yubico's เอกสาร สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องเสียบกุญแจและฟังก์ชั่นที่ต้องการ พวกเขาแตกต่างกันในนโยบายการป้อน PIN) ที่นี่เราจะใช้ slot 9a
   
6. คลิก ผลิต ปุ่ม
   
7. เลือก คำขอลงนามใบรับรอง (CSR)จากนั้นคลิกปุ่ม ถัดไป ปุ่ม
   
8. เลือก a ขั้นตอนวิธี จากเมนูแบบเลื่อนลง สำหรับการเซ็นเอกสาร เลือก RSA2048. สำหรับการเซ็นรหัส EV ให้เลือก ECCP256 or ECCP384.
   
9. ป้อน ชื่อเรื่อง สำหรับใบรับรองจากนั้นคลิกที่ ถัดไป ปุ่ม
   
   หมายเหตุ เราจะไม่ใช้สิ่งนี้จริงๆ CSR- สร้างขึ้นเป็นผลพลอยได้จากการสร้างคู่คีย์ใหม่ ดังนั้นจึงไม่สำคัญว่าคุณจะป้อนชื่อเรื่องอะไรที่นี่
   
   ผู้ใช้ต้องขอ SSL.com สำหรับการออกใหม่เมื่อส่งคำสั่งซื้อใหม่ การออกจะไม่เกิดขึ้นโดยอัตโนมัติ
10. คลิก ผลิต ปุ่ม
    
11. เลือกตำแหน่งที่จะบันทึกไฟล์ CSR ไฟล์สร้างชื่อไฟล์จากนั้นคลิกที่ ลด ปุ่ม
    
12. ป้อน YubiKey ของคุณ คีย์การจัดการจากนั้นคลิก OK. หากคุณต้องการรหัสการจัดการของคุณโปรดติดต่อ Support@SSL.com.
    
13. ป้อน YubiKey ของคุณ PINจากนั้นคลิก OK. หากคุณต้องการความช่วยเหลือในการค้นหา PIN ของคุณโปรดดูที่ วิธีการนี้.
    
14. เทศกาล CSR ไฟล์จะถูกบันทึกในตำแหน่งที่คุณระบุไว้ในขั้นตอนที่ 11 ด้านบน อีกครั้งเราไม่ต้องการให้ไฟล์นี้ดำเนินการต่อและคุณสามารถลบได้อย่างปลอดภัย
    

ขั้นตอนที่ 2: สร้างใบรับรองการยืนยัน

YubiKey แต่ละอันมาพร้อมกับคีย์ส่วนตัวและใบรับรองจาก Yubico ที่ให้คุณสร้าง ใบรับรองการยืนยัน เพื่อตรวจสอบว่ามีการสร้างคีย์ส่วนตัวบน YubiKey การดำเนินการนี้จะทำให้คุณต้องใช้บรรทัดคำสั่ง

1. ใน Windows ให้เปิด PowerShell ในฐานะผู้ดูแลระบบ ผู้ใช้ macOS และ Linux ควรเปิดหน้าต่างเทอร์มินัลบนอุปกรณ์ของตน
   
2. ใช้คำสั่งต่อไปนี้เพื่อนำทางไปยังไฟล์ YubiKey Manager:
   • Windows:

     ซีดี "C:\Program Files\Yubico\YubiKey Manager"

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • บน Linux (Ubuntu) ykman คำสั่งจะถูกติดตั้งในของคุณ PATHดังนั้นคุณสามารถข้ามขั้นตอนนี้ได้
3. สร้างใบรับรองสำหรับคีย์ด้วยคำสั่งด้านล่าง เลือก/สร้างโฟลเดอร์ในคอมพิวเตอร์ของคุณที่คุณต้องการเก็บใบรับรองไว้ แทนที่ C:\โฟลเดอร์\โฟลเดอร์\การรับรอง\ชื่อไฟล์การรับรอง ด้วยเส้นทางและชื่อไฟล์ที่คุณต้องการใช้ หากคุณใช้สล็อต 9c ให้แทนที่ 9a กับ 9c:
   
   • Windows:

     .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename

   • ลินุกซ์ (Ubuntu):

     คีย์ piv ของ ykman ยืนยัน 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman piv คีย์ยืนยัน 9a ATTESTATION-FILENAME.crt

4. ถัดไปใช้ ykman คำสั่งในการส่งออกใบรับรองกลางจากสล็อต f9 ของ YubiKey เลือก/สร้างโฟลเดอร์ในคอมพิวเตอร์ของคุณที่คุณต้องการส่งออกใบรับรองกลาง แทนที่ C:\Folder\Folder\attestation\intermediatefilename ด้วยพา ธ และชื่อไฟล์ที่คุณต้องการใช้):
   • Windows:

     .\ykman.exe ส่งออกใบรับรอง piv f9 C:\Folder\Folder\attestation\intermediatefilename

   • ลินุกซ์ (Ubuntu):

     ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv ใบรับรองส่งออก f9 INTERMEDIATE-FILENAME.crt

ขั้นตอนที่ 3: ตรวจสอบใบรับรองการรับรองด้วย SSL.com และแนบกับคำสั่งซื้อ

1. ที่นี่เราจะใช้ใบรับรองการยืนยันของเราจาก YubiKey slot 9a กับคำสั่งใบรับรองการลงนามรหัส EV (ขั้นตอนในการลงนามใบรับรองเอกสารจะเหมือนกัน) ขั้นแรกเปิดการรับรองและใบรับรองระดับกลางในโปรแกรมแก้ไขข้อความ
   
2. เข้าสู่ระบบบัญชีผู้ใช้ SSL.com ของคุณและไปที่ไฟล์ รายการสั่งซื้อ จากนั้นคลิกแท็บ รายละเอียด ลิงก์สำหรับคำสั่งซื้อที่คุณต้องการเชื่อมโยงกับใบรับรองการรับรอง (ลิงค์นี้จะเปลี่ยนเป็น ดาวน์โหลด หลังจากออกใบรับรองของคุณแล้ว)
   
   หมายเหตุ หากคุณต้องการตรวจสอบความถูกต้องของใบรับรองการรับรองของคุณโดยไม่ต้องแนบกับคำสั่งซื้อคุณสามารถใช้ SSL.com เครื่องมือตรวจสอบการยืนยัน.
   
3. คลิก จัดการ ลิงก์ภายใต้ การรับรอง.
   
4. หน้าใหม่ที่มีช่องสำหรับการรับรองและใบรับรองระดับกลางจะปรากฏขึ้น
   
5. วางใบรับรองการรับรองลงในไฟล์ ใบรับรองการยืนยัน ฟิลด์ตรวจสอบให้แน่ใจว่าได้รวมบรรทัด -----BEGIN CERTIFICATE----- and -----END CERTIFICATE-----.
   
6. จากนั้นวางใบรับรองระดับกลางลงในไฟล์ ใบรับรองระดับกลาง สนาม
   
7. คลิก ส่ง ปุ่ม
   
8. หากทุกอย่างเป็นไปอย่างถูกต้องการแจ้งเตือนสีเขียวจะปรากฏขึ้นที่ด้านบนของหน้าจอเพื่อแสดงว่าการยืนยันสำเร็จ
   
9. กลับไปที่คำสั่งซื้อในบัญชีของคุณ คุณสามารถตรวจสอบได้ว่าได้เพิ่มการยืนยันลงในคำสั่งซื้อแล้วโดยมีลิงก์ที่มีป้ายกำกับ ลบ ภายใต้ การรับรอง.
   
10. หลังจากที่ SSL.com ประมวลผลคำสั่งซื้อของคุณแล้ว ใบรับรองจะพร้อมใช้งานในบัญชี SSL.com ของคุณ จากหน้ารายละเอียดคำสั่งซื้อของคุณ ให้เลื่อนลงไปที่ ใบรับรองนิติบุคคลสิ้นสุด และคลิก แสดงรายละเอียด.
    
11. เลื่อนลงไปที่ส่วนย่อยที่มีป้ายกำกับ ใบรับรองการลงนามรหัส or หนังสือรับรองการเซ็นเอกสารขึ้นอยู่กับคำสั่งซื้อของคุณ ทางด้านขวา คุณจะเห็นลิงก์ดาวน์โหลดใบรับรองของคุณ
    
    
    1. หากคุณมี หนังสือรับรองการเซ็นเอกสาร, เลือก ใบรับรองส่วนบุคคล ตัวเลือกการดาวน์โหลด นี่คือไฟล์ ZIP ที่ประกอบด้วยไฟล์ใบรับรอง 3 ไฟล์ ได้แก่ ใบรับรองเอนทิตีปลายทาง ใบรับรองระดับกลาง และใบรับรองหลัก
       
    2. หากคุณมี ใบรับรองการลงนามรหัส, เลือก สำหรับการติดตั้ง YUBIKEY (DER).
       

ขั้นตอนที่ 4: ติดตั้งใบรับรองใน YubiKey

1. เปิดตัว YubiKey Manager และย้ายไปที่ แอปพลิเคชั่น> PIV.
   
2. คลิก กำหนดค่าใบรับรอง ปุ่ม
   
3. เลือกแท็บสำหรับสล็อต YubiKey เดียวกับที่คุณสร้างคู่คีย์
   
4. คลิก นำเข้า ปุ่ม
   
5. ไปที่ไฟล์ใบรับรองเอนทิตีปลายทางของคุณแล้วคลิกไฟล์ นำเข้า ปุ่ม
   
6. ป้อน YubiKey ของคุณ คีย์การจัดการจากนั้นคลิก OK. หากคุณต้องการรหัสการจัดการของคุณโปรดติดต่อ Support@SSL.com.
   
7. มีการติดตั้งใบรับรองการลงนามรหัส EV ใหม่ใน YubiKey
   
8. เพื่อให้แน่ใจว่าลายเซ็นดิจิทัลของคุณเชื่อถือได้ในคอมพิวเตอร์ทุกเครื่องคุณควรติดตั้งใบรับรองหลักและใบรับรองระดับกลางบน YubiKey ของคุณเพื่อความไว้วางใจที่สมบูรณ์ โปรดปฏิบัติตามคำแนะนำเหล่านี้สำหรับการติดตั้งรูทและระดับกลาง: ติดตั้ง SSL.com Root และใบรับรองระดับกลางบน YubiKey.